مقابله با حملات کلیک جکینگ با X-Frame-Options HTTP header

کلیک دزدی یا clickjacking یکی از حملات معمول برای فریب کاربران است، به این صورت که با استفاده از تگ هایی مانند تگ‌های زیر قسمی از یک سایت را در صفحه وب دیگر لود می‌کنند و کاربر را دچار اشتباه می‌کنند تا عملی را در وب سایتی انجام دهند که کامل ساختگی است.

<frame><iframe><embed><object>

این نوع از حملات برای اهداف مخرب زیادی استفاده می‌شود مثل هک حساب های کاربری، افزایش آمار کلیک فیک رو تبلیغات کلیکی چه با هدف افزایش درآمد و چه با هدف تخریب اعتبار یک سایت فروش بنرهای تبلیغاتی (با افزایش کلیک نامرتبط و کاهش نرخ تبدیل).

مثال‌های ملموس از کلیک دزدی (clickjacking)

1. کاربر وارد صفحه‌ای فیک که مشابه سایت اینستاگرام شده است که در آن صفحه یک ویدیو با لایک خور بالا وجود دارد اما در قسمت پایین صفحه بخشی که برای لایک ویدیو است از وب سایت اینستاگرام لود می‌شود و کاربران به اشتباه فکر می‌کنند که ویدیو داخل صفحه را لایک می‌کنند اما اینگونه نیست و در واقع ویدیو دیگری لایک می‌شود این نوع از حملات clickjacking معروف به likejacking است.
2. کاربر برا هدف دانلود فایلی با ارزش وارد صفحه‌ای می‌شود و برای کلیک فایل روی دکمه‌ای کلیک می‌کند اما با استفاده از کدهای جاوا اسکریپت تبلیغات بنری یک سایت دیگر قرار داده شده است که با کلیک فیک (fraud) کاربر درآمد تبلیغاتی وب سایت هدف اقزایش می‌یابد.
3. کاربر با هدف لاگین به یک وب سایت وارد صفحه ای ‌می‌شود و قسمت recaptcha یا من ربات نیستم را برای چند بار حل می‌کند و به جایی نمی‌رسد اما در واقعا این recaptcha برای وب سایت دیگری است که با هدف‌های مختلفی مثل درج کامنت، ثبت نام یا هک با ربات انجام می‌گیرد.

تاثیر X-Frame-Options HTTP header بر روی سئو سایت

یکی از معیارهای بسیار مهم که ارتباط بسیار زیادی با سئو سایت دارد امنیت وب سایت است، تاثیر امنیت وب سایت روی سئو زمانی بیشتر حس می‌شود که شما با وب سایتی رو به رو می‌شود که هک شده است و گوگل به این مسئله پی می‌برد.

وب سایت هک شده به سرعت رتبه‌های خود را در نتایج جستجو از دست داده و به شدت افت می‌کند و حتی بعد از رفع هک مدت زمان زیادی طول می‌کشد تا در نتایج جستجو به رتبه‌های قبلی خود دست یابد.

وجود این تگ در هدر صفحات سایت یک سیگنال برای گوگل و سایر موتورهای جستجو است که نشان دهنده امنیت وب سایت خواهد بود و می‌تواند روی سئو سایت تاثیرگذار (هرچند کم) باشد.

دفاع در مقابل حملات کلیک جکینگ با X-Frame-Options HTTP header

X-Frame-Options HTTP header یکی از موثرترین موارد برای مقابل در مقابل حملات clickjacking است به این صورت که با استفاده از این کد در هدر سایت می‌توانید از نمایش وب سایت به صورت آی فریم در سایر وب سایت‌ها جلوگیری کنید.

value های X-Frame-Options HTTP header چیست؟

برای این تگ می‌توانید از ۳ مقدار متفاوت استفاده کنید که هریک کارایی خاص خود را دارند.

X-Frame-Options: DENY

با قرار دادن مقدار deny برای این تگ هیچ وب سایتی اجازه استفاده از محتوای شما به صورت ای فریم را نخواهد داشت.

<httpProtocol>
<customHeaders>
<add name=”X-Frame-Options” value=”DENY” />
</customHeaders>
</httpProtocol>

X-Frame-Options: SAMEORIGIN

با قرار دادن مقدار sameorigin برای تگ X-Frame-Options فقط صفحات سایت شما اجازه استفاده از این محتوا را در صفحات خود خواهند داشت.

<httpProtocol>
<customHeaders>
<add name=”X-Frame-Options” value=”SAMEORIGIN” />
</customHeaders>
</httpProtocol>

X-Frame-Options: ALLOW-FROM https://example.com

با قرار دادین مقدار X-Frame-Options برابر با allow-from url فقط اجازه استفاده از محتوای صفحه را به یک وب سایت خاص می‌دهید.

<httpProtocol>
<customHeaders>
<add name=”X-Frame-Options” value=”HTTPS://ALIAHMADI.ORG”>
</customHeaders>
</httpProtocol>